Hilton súhlasí s vyrovnaním 700 000 USD za porušenie ochrany údajov

Hotelový reťazec Hilton súhlasil so zaplatením 700 000 dolárov za urovnanie nároku voči spoločnosti v súvislosti s dvoma samostatnými únikmi údajov.

V utorokGenerálny prokurátor Eric Schneiderman uviedol, že domáca prevádzková spoločnosť Hilton, predtým známa ako Hilton Worldwide, zaplatí 700 000 USD ako náhradu za nesplnila svoju povinnosť – nielen tým, že mala v prvom rade slabé zabezpečenie, ktoré umožnilo narušenie údajov, ale aj tým, že zákazníkov nechala v tmavé.

Americké vyšetrovanie porušení, ktoré viedli orgány činné v trestnom konaní v New Yorku a Vermonte, analyzovalo dva bezpečnostné incidenty, ktoré sa odohrali oddelene v roku 2015.

Vyšetrovatelia dospeli k záveru, že „Hilton neposkytla spotrebiteľom včasné upozornenie a nezabezpečila primeranú bezpečnosť údajov,“ uviedla kancelária generálneho prokurátora.

Spoločnosť Hilton tiež nesplnila niekoľko požiadaviek štandardu zabezpečenia údajov platobných kariet (PCI DSS), ktoré sú potrebné na bezpečné spracovanie kreditných kariet.

„Podniky majú povinnosť informovať spotrebiteľov v prípade porušenia a chrániť ich osobné údaje čo najbezpečnejšie,“ povedal Schneiderman. „Laxné bezpečnostné postupy, ako sú tie, ktoré sme odhalili v Hiltone, vážne ohrozujú informácie o kreditných kartách a ďalšie osobné údaje obyvateľov New Yorku. Moja kancelária bude aj naďalej brať podniky na zodpovednosť za ochranu osobných údajov svojich zákazníkov.“

Prvý únik údajov bol odhalený 10. februára 2015. v ktorom bol v jednom z hotelových systémov nájdený malvér, ktorý sa zameriaval na údaje o kreditnej karte. Forenzná expertíza odhalila, že medzi 18. novembrom a 5. decembrom 2014 boli informácie potenciálne prenesené zo siete hotelového reťazca do systému aktéra hrozby. Nikdy sa však nenašli žiadne dôkazy.

Druhý incident bol náhodne zaznamenaný 10. júla v tom istom roku a bola zistená nová vlna škodlivého softvéru, ktorý kradne informácie o kreditných kartách.

Údaje o platobných kartách boli potenciálne odhalené od 21. apríla 2015 do 27. júla 2015 a útočníci ukradli najmenej 363 952 čísel kreditných kariet.

Tým sa Hiltonove problémy neskončili. O deväť mesiacov neskôr sa spoločnosť priznala k prvému narušeniu a toto oneskorenie, v ktorom mohli byť informácie použité na ovplyvnenie obetí spôsobmi vrátane krádeže identity, nie je prijateľné.

"Hilton neposkytla oznámenie spotrebiteľom v čo najvýhodnejšom čase a bez zbytočného odkladu," uviedli vyšetrovatelia.

Spoločnosť tiež porušila zákony New Yorku tým, že tvrdila, že informácie o zákazníkoch budú v bezpečí – a nedodržala tento prísľub primeranej bezpečnosti údajov.

Vyrovnanie teraz vyžaduje, aby spoločnosť Hilton poskytla „okamžité“ upozornenie o zákazníkoch, ktorých sa porušenie ochrany údajov týka, a spoločnosť musí tiež vytvoriť zabezpečenie program, v ktorom prebiehajú interné bezpečnostné audity, je zavedené zabezpečenie proti ďalšiemu opakovaniu a zamestnanec je poverený vedením program.

Spotrebitelia však nemôžu očakávať, že dostanú žiadne vyrovnanie. Namiesto toho dostane New York 400 000 dolárov a Vermont zvyšok.

Hilton je len jedným z mnohých hotelových reťazcov, na ktoré sa zameriavajú cenné údaje o zákazníkoch, ktoré uchovávajú a spracúvajú. V apríli utrpela hotelová sieť prezidenta Donalda Trumpa, The Trump Hotel Collection druhé z dvoch porušení ochrany údajov len v tomto roku.

Predchádzajúce a súvisiace pokrytie

Hotelový reťazec Trump utrpel nové porušenie údajov

Reťazec hotelov údajne rieši nové porušenie údajov systémov kreditných kariet, čo je už druhý incident za menej ako rok.

Bývalý šéf spoločnosti Equifax pripúšťa, že zodpovednosť „začína zhora“ za ničivé porušenie údajov

Bývalý generálny riaditeľ spoločnosti Equifax Richard Smith hovorí, že porušenie údajov sa nemalo stať na jeho hodinkách.

InterContinental Hotels Group priznáva porušenie údajov

IHG tvrdí, že do bezpečnostného incidentu sú zapojené systémy platobných kariet v 12 hoteloch.